Unit 42 van Palo Alto Networks publiceert een rapport waarin staat dat aangepaste LLM’s zonder veiligheidsbeperkingen in korte tijd uitgroeien tot een structureel onderdeel van de ondergrondse economie. De modellen worden gebruikt om cyberaanvallen te ontwikkelen en automatiseren en zijn volgens het onderzoek eenvoudig beschikbaar via verschillende kanalen.
Het onderzoek beschrijft hoe dark LLM’s worden ingezet voor uiteenlopende kwaadaardige toepassingen. Volgens Unit 42 vormt de technologie een groeiende uitdaging, omdat dezelfde eigenschappen die LLM’s geschikt maken voor defensieve toepassingen ook kunnen worden gebruikt voor offensieve activiteiten. Deze ontwikkeling wordt in het rapport gekoppeld aan het dual-use dilemma, dat bekend is uit andere technologische domeinen.
Unit 42 verwijst naar een recente cybercampagne waarbij een groep hackers met banden met China een commercieel LLM gebruikte om een aanval volledig te automatiseren. Het rapport stelt dat dit niet op zichzelf staat, maar onderdeel vormt van een bredere trend waarin aangepaste modellen actief worden ontwikkeld en verspreid.
Het onderzoek kijkt naar de modellen zelf en naar de netwerken waarlangs ze circuleren, waaronder Telegram-groepen en darkwebfora. Volgens Unit 42 verlagen deze modellen de technische drempel voor het uitvoeren van aanvallen. Criminelen gebruiken ze om phishingteksten, malware-scaffolding en geautomatiseerde scripts te genereren, waardoor grootschalige operaties binnen handbereik komen.
In het rapport wordt beschreven dat aangepaste modellen als WormGPT en FraudGPT worden aangeboden via ondergrondse platforms. Ze zijn beschikbaar via betaalconstructies die lijken op reguliere abonnementsmodellen en worden geleverd met ongefilterde uitvoer. De onderzoekers melden dat open-variantemodellen zoals KawaiiGPT lokaal kunnen worden geïnstalleerd zonder uitgebreide technische kennis, wat de verspreiding verder stimuleert.
Unit 42 stelt dat deze modellen steeds geavanceerdere output leveren. De gegenereerde phishingteksten zijn vloeiend en foutloos en de malwarecode is direct bruikbaar voor verdere ontwikkeling. Volgens het onderzoek wijst dit op een verschuiving waarin automatisering van aanvallen een steeds centralere rol krijgt binnen de ondergrondse markt.
De onderzoekers verwachten dat deze ontwikkeling gevolgen heeft voor digitale weerbaarheid. De brede beschikbaarheid van dark LLM’s toont volgens het rapport dat de markt zich in korte tijd heeft ontwikkeld van losse experimenten naar een georganiseerde structuur waarin commerciële exploitatie en schaalbare inzet samenkomen.
